WhatsApp dice más de ti de lo que crees, así expones tu información

  • El hacker Chema Alonso, CDO de Telefónica, explicó como WhatsApp dice más de ti de lo que crees.
  • El especialista compartió algunos trucos de cómo la aplicación puede delatar la hora cuando te levantas y las veces que te conectas.
  • Además, hackear una cuenta de WhatsApp puede ser tan fácil como lo demostró en una conferencia.
  • ¿Ya conoces nuestra cuenta en Instagram? Síguenos

WhatsApp es un de las app de chats más conocida y usada del mundo, pero hay una máxima de la ciberseguridad que también es incontestable. A más superficie, más margen para atacar.

Así lo demostró Chema Alonso, Chief Digital Officer (CDO) de Telefónica y ante todo hacker. El experto en ciberseguridad informó cómo un hacker puede saber tu vida a través de WhatsApp en Osintomático Conference que tuvo lugar en Madrid.

Hackear una cuenta de WhatsApp no requiere de sofisticados códigos o ransomwares; solo requiere ingeniería social.

OSINT o inteligencia de fuentes abiertas es un conjunto de herramientas y metodologías que poco a poco se va transformando en una disciplina más de la investigación privada y de la ciberseguridad, en la que expertos son capaces de reunir toda la información posible sobre un objetivo con diversos fines.

La brecha del ‘log in’

Alonso preguntó a sus oyentes quién tenía todavía tarjetas de presentación y quién las entregaba.

Con la información de esa tarjeta, un investigador podría extraer en cuestión de horas un pormenorizado perfil digital de la persona en cuestión.

¿Cómo? Aprovechándose de una vulnerabilidad muy extendida en los servicios de inicio de sesión de diversas plataformas.

A la hora de intentar iniciar sesión con el correo electrónico de un tercero, puedes recibir dos mensajes y si esa cuenta de correo no existe te lo indica así y te rechaza entrar. O bien te dice que te has equivocado de contraseña.

Con esa información implícita, ya sabes que el usuario en cuestión tiene una cuenta en esa plataforma; aunque no tengas esa contraseña.

Te podrás imaginar qué se puede hacer con información así de sensible: con este método puedes descubrir incluso quién tiene cuentas en páginas de infidelidades.

Este leak, como lo bautizó Alonso, se está corrigiendo en multitud de plataformas.

Además en WhatsApp, hasta hace no tanto, era posible dejar a una persona sin servicio, con la cuenta bloqueada, con un sencillísimo ataque de denegación de servicios que descubrieron dos jóvenes hackers españoles.

Tu ubicación y tus conexiones en WhatsApp, a la vista de todos

En WhatsApp existe la funcionalidad para compartir ubicación con un contacto. Esto puede ser útil en caso de que hayas quedado con una persona o simplemente quieras comprobar que tu amigo o amiga está llegando a casa sana y salva.

Sin embargo, los atacantes tienen medios para descubrir tu ubicación sin que necesariamente la compartas.

Esta función se logra al «camuflar» con un link falso a —por ejemplo, Spotify— que en su lugar dirige a una dirección controlada por el propio atacante.

De este modo, el atacante podrá comprobar en su dominio quién accedió e hizo peticiones en su servidor, con lo cual podrá descubrir su dirección IP y, por consiguiente, trazar su geolocalización aproximada.

La privacidad es cuestionable en WhatsApp

En general, y a juicio del CDO de Telefónica, WhatsApp tiene una serie de decisiones en materia de privacidad que son cuestionables. 

Una, por ejemplo, es que el nombre con el que te registres en la aplicación es accesible para todo el mundo que conozca tu número o comparta un grupo. Ese nombre, eso sí, es lo que escribas: si no pones tus apellidos, preservarás mejor tu privacidad.

Otra es el hecho de que compartir si estás conectado o no a la aplicación «con todo el mundo» sea siquiera una opción.

La opción de estar en línea permite saber la hora en que te levantas y cuántas veces usas el dispositivo

La app permite configurar si compartes si estás en línea o no con tus contactos, con nadie o con todo el mundo. A juicio de Alonso, esta última opción carece de ningún tipo de sentido.

«Es una característica que WhatsApp adopta para mejorar el engagement de sus usuarios pero que va en contra de la privacidad: así puedes saber incluso cuándo alguien se levanta de la cama».

Y permite que a aquellos con tiempo e ingenio ser capaces de trazar hasta cuántas veces te conectas a la plataforma sin que seas consciente de ello.

Lo demostró el propio Alonso enseñando un desarrollo que hizo su equipo de Ideas Locas —un singular departamento que Chema Alonso dirige en Telefónica— con el que demostraron la posibilidad de que existieran ‘gusanos’ en la app.

Con un plugin de navegador que emula una cuenta iniciada sesión en WhatsApp Web el equipo de Ideas Locas desarrolló WannaSAPP y WannaGRAM, dos pruebas de concepto de que gusanos —malware que se va contagiando de terminal en terminal, de cuenta en cuenta— son capaces de robar y secuestrar de forma autónoma cuentas de la plataforma.

Con esa misma interfaz, Alonso señaló cómo era posible registrar de forma automatizada todas las veces que un usuario se conectaba y, por lo tanto, estaba abriendo WhatsApp en su dispositivo.

Algo que ya explicó previamente en otra conferencia y que también compartió en su blog.

A veces, el simple corrector de tu teclado en el celular puede delatarte

Con todo, muchos de los trucos que Alonso compartió en la Osintomático Conference no requería de conocimientos avanzados en tecnología.

Si tu corrector automáticamente pone la primera letra de tu mensaje en mayúsculas, el remitente podrá intuir que estás escribiendo desde el celular y no desde una computadora.

AHORA LEE: WhatsApp lanza API gratuita en la nube y funciones premium para atraer a más empresas

TAMBIÉN LEE: Facebook se convirtió en un «Frankenstein», acusa un exdirectivo de Whatsapp

Descubre más historias en Expertos en Línea

Síguenos en FacebookInstagramLinkedInTwitterTikTok y Youtube

AHORA VE: